FreeBSD Jails. Seminararbeit von: Adler Dominique, 5Im. Fachhochschule Nordwestschweiz Departement Technik Studiengang Informatik

Transkript

1 FreeBSD Jails Seminararbeit von:, 5Im Fachhochschule Nordwestschweiz Departement Technik Studiengang Informatik Betreuender Dozent: Dr. H. von Fellenberg Seite 1 von 19

2 Inhaltsverzeichnis 1 Allgemeines Einleitung Eigenschaften einer Jail Einschränkungen einer Jail Jails, TrustedBSD, XEN, vmware, alles das gleiche? Jails TrustedBSD Vergleichsmatrix TrustedBSD vs. Jails XEN Vmware Typische Einsatzszenarien von Jails Webhosting Schulung Testumgebung Sicherheit Allgemeine Überlegungen Wichtige sysctl MIB (Management Information Base) Anpassen der sysctl MIB's im Hostsystem Jail spezifische sysctl in der Jail 8 2 Erstellung einer Jail Installation der Jail aus den Sourcen Erstellung einer angepassten make.conf (optional) Installation der Sourcen Bau einer Jail aus den Sourcen Konfiguration des Hostsystems Starten und konfigurieren einer Jail Die Konfiguration Beispielkonfiguration Start / Stop der Jail Eintrag in /etc/rc.conf (Automatischer Start und Stop) Jail und devfs rules Automatischer Start/Stop der Jail Manueller Start/Stop der Jail mittels Script 16 3 Management von Jails Über das Hostsystem Prozesse in einer Jail killen Erstellen von weiteren Jails Löschen einer Jail Updaten einer Jail 18 4 Quellen 19 Seite 2 von 19

3 1 Allgemeines 1.1 Einleitung Jeder UNIX/Linux Administrator versucht sein System so sicher zu halten wie möglich. Eine altbekannte Variante ist chroot welches den Zugriff auf einen bestimmten Verzeichnisbereich beschränkt. Diese Variante stösst aber recht schnell an ihre Grenzen sobald mehrere Benutzer im Spiel sind. Ein Beispiel dazu ist das zur Verfügung stellen eines Servers für mehrere Benutzer. Benutzer A möchte gerne einen Webserver, den er selber konfigurieren möchte, auf dem System laufen lassen. Benutzer B einen FTP Server, Benutzer C das Softwarepaket X usw.. Problematisch wird es hier beim Verteilen der Rechte. Zum installieren der Software sind root Rechte notwendig was ein Sicherheitsrisiko darstellen würde. Ein einfacher und effektiver Lösungsansatz sind Jails. In groben Zügen erklärt sind Jails virtuelle Umgebungen (client) auf dem Dateisystem, welche vollkommen vom eigentlichen System, dem Host, isoliert sind. Jede Jail hat ihre eigene IP Adresse, Konfiguration (wie eine FreeBSD Konfiguration), führt eigene Programme aus und teilt sich die vorhandenen Ressourcen des Servers mit dem Hostsystem. Veränderungen am Host können Jails beeinflussen, Veränderungen in einer Jail aber das Hostsystem nicht. Einzig wenn dem User einer Jail erlaubt ist den ganzen Plattenplatz des Dateisystems, auf dem die Jail liegt, zu nutzen, kann eine Jail das Hostsystem beeinflussen. 1.2 Eigenschaften einer Jail Alle Prozesse die in einer Jail aktiv sind, sind auf diese beschränkt. Weiter kennt dessen Dateisystem keine Dateisysteme ausserhalb seiner selbst. Somit kann auch mit root Rechten nur innerhalb der Jail operiert werden. Das Hostsystem ist unantastbar. Dies hat viele Vorteile. Selbst wenn es einem Hacker gelingen sollte in eine Jail einzubrechen und das root Passwort herausfindet, beschränken sich seine Möglichkeiten auf die Jail, welche schnell und einfach gelöscht und ersetzt werden kann. Reservierte TCP und UDP Ports können auf die IP der Jails gebunden werden und somit die Dienste anbieten die auf diesen Ports lauschen. 1.3 Einschränkungen einer Jail Jeder Jail kann nur eine einzige IP Adresse zugewiesen werden und muss alleine über diese verfügen können. Da Prozesse von Servern auf lokalen Rechnern oftmals das Loopback Interface ( ) verwenden und die Jail nur über eine einzige IP verfügen kann, wird die IP des Loopback Interface durch die der Jail ersetzt. Es muss auch aber darauf geachtet werden dass auf dem Hostsystem laufende Daemonen nicht die IP der Jail verwenden und somit deren Start verhindern. Mit sockstat lässt sich auf dem Hostsystem herausfinden welcher Daemon auf alle IP Adressen mit einem bestimmten Port lauscht. NFS (Network File Service) funktioniert in einer Jail nicht. Das freigeben des Ports Tree kann trotzdem mit dem so genannten Loopback Mount erfolgen, welches ein Verzeichnis eines Systems in ein anderes Verzeichnis des gleichen Systems exportiert von wo es dort gemountet werden kann. Das Laden wie auch das entladen von Kernelmodulen funktioniert in einer Jail nicht. Ausserdem ist das mounten wie Seite 3 von 19

4 auch das erstellen von Device Nodes hier nicht möglich. Das modifizieren der Netzwerkkonfiguration, der Adressen wie auch das der Routing Tabellen ist zu dem nicht erlaubt. 1.4 Jails, TrustedBSD, XEN, vmware, alles das gleiche? Jails ist ein Virtueller Server auf der Basis eines Betriebssystems. In diesem Fall von FreeBSD. Das Prinzip dabei ist ein Gastgeber Betriebssystem, welches mehrere Gast Betriebssystem Umgebungen beherbergt, die gegeneinander abgeschottet sind. Die Virtualisierung auf der Betriebssystembasis erfolgt dabei über eine erweiterte chroot Umgebung des Gastgeber Systems wobei ein direkter Zugriff auf die System Hardware nicht möglich ist Das TrustedBSD Projekt ist eine Erweiterung die spezielle Hochsicherheitsanforderungen zur Verfügung stellt welches mit dem Solariskompatiblen Audit Framework OpenBSM (Open Source Basic Security Module) derzeit seine Integration in FreeBSD vervollständigt. Es basiert nicht wie herkömmliche UNIX Systeme auf Discretionary Access Control (DAC) sondern auf Mandatory Access Control (MAC). Das bedeutet dass der Zugriff auf ein Objekt (Ressourcen wie Files, Sockets usw.) nicht wie bis anhin aufgrund von Identität des Users und des Prozesses gestattet oder verweigert wird sondern aufgrund allgemeiner Regeln und Eigenschaften derer. Subjekte (Prozesse, User) greifen nicht direkt auf Objekte zu sondern via Referenzmonitor der für die Kontrolle und Umsetzung der Rechte zuständig ist. Somit trägt das TrustedBSD Projekt massgeblich dazu bei die Vertraulichkeit und Konsistenz der Daten zu gewährleisten Vergleichsmatrix TrustedBSD vs. Jails Jails Erfordert Anpassung auf Kernelebene x Policy/konsequets labeling x Eingesperrte Prozesse x Hostsystem unantastbar x o Hoher Konfigurationsaufwand x Auf eine IP beschränkt x Laden/entladen von Modulen x TrustedBSD Seite 4 von 19

5 1.4.4 XEN basiert wie Jails auf einem Gastgeber Betriebssystem jedoch mit dem Unterschied, dass über Treiber des Gastgeber Systems auf die Hardware zu gegriffen werden kann Vmware ist ein typisches Beispiel eines Virtuellen Servers auf Basis einer Virtualisierung. Vmware ist eine reine virtuelle Maschine mit der man, nicht wie bei Jails, keine erhöhte Sicherheit verschiedener Serverdienste erreichen kann. Vmware emuliert dabei die Hardware, incl. BIOS und CPU. 1.5 Typische Einsatzszenarien von Jails Webhosting Die Kosten für Hardware eines Webhosters können schnell sehr hoch werden. So machen sich viele Webhoster die Jail unter FreeBSD zu nutze und können so auf einem einzigen Server mehrere virtuelle Root Server zur Verfügung stellen. Dem Kunden kann die Möglichkeit geboten werden Software wie Webserver, FTP oder Datenbanken nach belieben zu installieren und zu konfigurieren und das bei vollem Root Zugriff. Für den Webhoster kann dies finanziell sehr interessant sein denn nebst den geringeren Anschaffungskosten für die Hardware fallen auch die Kosten für Wartung wesentlich geringer aus Schulungen In den meisten Fällen werden für Schulungen jedes mal die Übungs PCs mit einem neuen System installiert. Der dazu nötige Aufwand ist oft nicht gerade gering. Eine Lösung währe es einen Server unter FreeBSD aufzusetzen, eine Jail zu erstellen und diese mehrfach auf den Server in unterschiedliche Verzeichnisse zu kopieren. Nun könnte man den verschiedenen Jails jeweils eine unterschiedliche IP zuweisen und so diese den Schulungsteilnehmern mittels ssh einen Zugang zum Server zur Verfügung stellen, um zum Beispiel einen Webserver, eine Datenbank, einen Mail oder FTP Server aufzusetzen zu können. Sinnvoll ist es nun eine so genannte Standby Jail zu erstellen. Wird nun eine Schulungs Jail durch wirken eines Teilnehmers unbrauchbar, so ist es möglich diese zu löschen und innerhalb kürzester Zeit und ohne grossen Aufwand durch das einfache kopieren der Standby Jail eine neu zur Verfügung zu stellen. Muss dagegen ein System neu aufgesetzt werden so ist der zeitliche Aufwand ein vielfaches höher bis es wieder einsatzbereit ist Testumgebung Ohne zusätzlich neue Hardware anzuschaffen ist es mittels einer Jail möglich eine Testumgebung zu schaffen, in der es möglich ist neue Software ausgiebig zu testen. Innerhalb der Jail kann mit root Rechten gearbeitet werden ohne das root Passwort das gesamten Systems zu kennen und damit das System zu gefährden. Treten in einer Jail Fehler oder Probleme auf oder ist der Test abgeschlossen, kann die Jail gelöscht und nach bedarf einfach wieder eine neue erstellt werden und dies Seite 5 von 19

6 innerhalb kürzester Zeit Sicherheit Eine Jail erhöht nicht die Sicherheit von Diensten! Ein Dienst der ein Sicherheitsproblem hat ist auch in einer Jail nicht sicher sondern sollte so schnell wie möglich gepatcht werden. Gelingt es nun einem Angreifer eine Sicherheitslücke auszunutzen und im schlimmsten Fall root Recht zu erlangen, so hat er zwar die Kontrolle über den Inhalt der Jail aber es ist ihm nicht möglich auf das Hostsystem zuzugreifen. Wird nun eine durch einen Angriff veränderte Jail entdeckt kann diese gestoppt werden, womit bestehende Verbindungen getrennt werden. Nun wird an deren Stelle eine Backup Jail kopiert die die gleichen Dienste anbietet, und gestartet. Innerhalb kürzester Zeit hat man wieder ein funktionierendes, sauberes System zur Verfügung. 1.6 Allgemeine Überlegungen Bevor es losgeht sollte man sich überlegen wie viel Platz eine Jail braucht und wie viele Jails man benötigt. Auf meiner Beispielkonfiguration läuft ein Apache Web Server und benötigt ca. 150MB. /jail/www]# du sh 148M. Grundsätzlich gilt eine komplette Jail zu installieren und anschliessend nach Bedarf einzelne Softwarepakete zu deinstallieren. Installiert man eine minimal Konfiguration ist es leicht möglich dass die Jail nicht startet. Darum ist erstere Variante zu bevorzugen. Die Jails können wahlweise in eine separate Partition installiert werden damit sie den Plattenplatz des Hostsystems nicht aufbrauchen können. Für jede Jail eine separate Partition zu machen dürfte wohl etwas zu viel des guten sein da je nach Verwendung der Jail unterschiedlich viel Platz benötigt wird. Bspw. braucht ein Webserver mit einer einfachen Homepage nicht gleich viel Platz wie ein Downloadserver. Lassen Sie sich also genug Zeit bei der Wahl ihrer Partitionierung da eine Partition oft zu gross und noch wahrscheinlicher zu klein gewählt wird. Alternativ zu einer Partition können Quotas vergeben werden. Diese Variante ist aber nur über Umwege zu erreichen und wird darum nicht empfohlen. Grösse meiner Partitionen: /jail/www]# df m Filesystem 1M blocks Used Avail Capacity Mounted on /dev/ad0s1a % / devfs % /dev /dev/ad0s1e % /tmp /dev/ad0s1f % /usr /dev/ad0s1d % /var Seite 6 von 19

7 1.7 Wichtige sysctl MIB (Management Information Base) Es gibt fünf sysctls die im Hostsystem der Jails gesetz werden können. Zwei weitere können in der Jail selber geändert werden. Die fünf sysctl Variabeln des Hostsystems gelten für alle Jails. Sie werden in der Datei /etc/sysctl.conf gesetzt. Eine Liste der verfügbaren MIB's erhalten wir durch folgende Eingabe: /]# sysctl a grep jail kern.hostname: freebsdjails.itsm.ch security.jail.set_hostname_allowed: 1 security.jail.socket_unixiproute_only: 1 security.jail.sysvipc_allowed: 0 security.jail.enforce_statfs: 2 security.jail.allow_raw_sockets: 0 security.jail.chflags_allowed: 0 security.jail.jailed: Anpassen der sysctl MIB's im Hostsystem security.jail.set_hostname_allowed Mit dieser Option wird definiert ob der root einer Jail den Hostnamen der Jail via hostname, sethostname oder der MIB kern.hostname ändern darf. Der Hostname wird verwendet um mit dem Hostsystem in Verbindung zu stehen. Standardmässig darf er das und darum sollte dieser Wert von 1 auf 0 gesetzt werden. security.jail.socket_unixiproute_only Diese Variable bestimmt ob eine Jail nur via IP kommunizieren kann, was die Standardeinstellung ist, oder ob UNIX sockets und / oder IPX genutzt werden darf. Letzteres kann durch setzen des Wertes 0 erreicht werden. Allerdings erhöht sich so das Sicherheitsrisiko. security.jail.sysvipc_allowed Ändert man den Wert dieser Variable von 0 auf 1 wird erreicht, dass Prozesse einer Jail Zugang zu System V IPC haben. Das heisst dass sie mit Prozessen ausserhalb der Jail kommunizieren können. Einige Datenbanken benötigen dies, ist aber aus Sicherheitsgründen nicht empfehlenswert. security.jail.allow_raw_sockets Dieses MIB steht für die Benutzung von raw sockets. D.H. bei dessen aktivierung darf man aus einer Jail heraus Programme wie ping oder traceroute nutzen. Möchte man dies muss der Wert auf 1 gesetzt werden. Per default wurde diese Option ausgeschaltet da sie dazu verwendet werden könnte mit anderen Netzwerk Subsystemen zu interagieren. security.jail.getfsstatroot_only Damit kann unterbunden werden, dass User in einer Jail alle mount points des Hostsystems sehen können (default Einstellung, MIB auf 1 ). Seite 7 von 19

8 1.7.2 Jail spezifische sysctl in der Jail kern.hostname Wurde im Hostsystem die MIB security.jail.set_hostname_allowed auf 1 gesetzt, kann der root der Jail den hostnamen der Jail ändern. kern.securelevel Hier können die verschiedenen Securelevel eingestellt werden. Mehr dazu unter man securelevel. 2 Erstellung einer Jail 2.1 Installation der Jail aus den Sourcen Erstellung einer angepassten make.conf (optional) Möchte man den Kompiliervorgang beschleunigen oder gewisse Teile einer Jail nicht anbieten, so kann man die Datei /etc/make.conf anpassen. Eine Übersicht über die verfügbaren Optionen finden Sie in der Beispieldatei /usr/share/examples/etc/make.conf. Die dort aufgelisteten Parameter NO_* können sie ganz nach ihrem Geschmack in die /etc/make.conf übernehmen. Sichern Sie zuerst ihre make.conf des Hostsystems: [root@freebsdjails /]# cd /etc [root@freebsdjails /etc]# cp make.conf make.conf.host Anschliessend passen Sie diese Datei nach Ihren Wünschen an: [root@freebsdjails /etc]# vi /etc/make.conf NO_ACPI= true NO_BOOT= true NO_BLUETOOTH= true NO_FORTRAN= true NO_GDB= true NO_GPIB= true NO_I4B= true NO_IPFILTER= true NO_PF= true NO_AUTHPF= true NO_KERBEROS= true NO_LPR= true NO_MAILWRAPPER=true NO_MODULES= true NO_NETCAT= true NO_NIS= true NO_SENDMAIL= true Seite 8 von 19

9 NO_SHAREDOCS= true NO_USB= true NO_VINUM= true NOATM= true NOCRYPT= true NOGAMES= true NOINFO= true NOMAN= true NOPROFILE= true NO_BIND= true NO_BIND_DNSSEC= true NO_BIND_ETC= true NO_BIND_LIBS_LWRES= true NO_BIND_MTREE= true NO_BIND_NAMED= true Sichern Sie nun wieder die make.conf /etc]# cp make.conf make.conf.jail und stellen die die des Hostsystems wieder her. /etc]# cp make.conf.host make.conf Installation der Sourcen Installation eines Programms das den Betriebssystem Quellcode (usr/src) aktualisieren kann: /etc]# pkg_add r cvsup without gui Konfigurationsfile für das Aktualisieren der Sourcen erstellen: [root@freebsdjails /etc]# cp /usr/share/examples/cvsup/standard supfile /etc/ Folgende Zeile der Datei /etc/standard supfile anpassen: *default host=change_this.freebsd.org ändern in *default host=cvsup.ch.freebsd.org Source Sammlung aktualisieren: cvsup g /etc/standard supfile Bau einer Jail aus den Sourcen Die vorhin installierten Sourcen befinden sich unter /usr/etc. Jetzt müssen wir noch das Zielverzeichnis der Jail erstellen. [root@freebsdjails /etc]# mkdir p /jail/www Jetzt erstellen wir eine Kopie des vorhandenen Systems und installieren es unter /jail/www. Seite 9 von 19

10 /etc]# cd /usr/src/ /usr/src]# make world DESTDIR=/jail/www Ist der make world Vorgang abgeschlossen müssen wir noch die Konfigurationsdateien unter /usr/src/etc nachinstallieren. /usr/src]# cd /usr/src/etc /usr/src/etc]# make distribution DESTDIR=/jail/www Anschliessend erstellen wir noch device nodes /usr/src/etc]# mount t devfs devfs /jail/www/dev Damit der Mount auch nach dem Neustart erhalten bleibt müssen wir noch die /etc/fstab anpassen [root@freebsdjails /usr/src/etc]# vi /etc/fstab # Device Mountpoint Fstype Options Dump Pass# /dev/ad0s1b none swap sw 0 0 /dev/ad0s1a / ufs rw 1 1 /dev/ad0s1e /tmp ufs rw 2 2 /dev/ad0s1f /usr ufs rw 2 2 /dev/ad0s1d /var ufs rw 2 2 devfs /jail/www/dev devfs rw 0 0 /dev/acd0 /cdrom cd9660 ro,noauto 0 0 Einige Programme suchen nach der Datei /kernel. Damit sie diese findet erstellen wir einen symbolischen Link [root@freebsdjails /usr/src/etc]# cd /jail/www [root@freebsdjails /jail/www]# ln sf dev/null kernel Konfiguration des Hostsystems Nach der Installation der Jail muss noch das Hostsystem für den Betrieb einer Jail und die Jail selbst konfiguriert werden. Beachten Sie dazu den Absatz 1.8 dieses Dokumentes. Standardkonfiguration des Hostsystems Wie am Anfang des Dokumentes erwähnt darf kein Deamon laufen der an allen verfügbaren IP Adressen und/oder Ports hängt. Diese würden die gleichen Dienste in der Jail beeinflussen. Die Suche nach solchen Programmen starten wir mit sockstat. [root@freebsdjails /jail/www]# sockstat grep \*:[0 9]" root sshd tcp6 *:22 *:* root sshd tcp4 *:22 *:* root syslogd udp6 *:514 *:* root syslogd udp4 *:514 *:* Dienste die an eine IP gebunden werden können werden in der manpage rc.conf beschrieben. Ein Beispiel dafür wäre inetd: Seite 10 von 19

11 inetd_flags= ww a Jetzt würden alle Dienste die via inetd gestartet werden nur noch an der angegebenen IP lauschen. Auch Sendmail kann so definiert werden: sendmail_enable= NO Starten und konfigurieren einer Jail Das erste mal muss die Jail manuell gestartet werden. Der erste Schritt besteht darin dem Hostsystem noch eine weitere IP Adresse, ein alias, für die Jail zu erstellen: [root@freebsdjails /jail/www]# ifconfig lnc0 inet alias /32 Überprüfen ob der Aias erzeugt wurde [root@freebsdjails /usr/home/dominique]# ifconfig lnc0: flags=108843<up,broadcast,running,simplex,multicast,needsgiant> mtu 1500 inet6 fe80::20c:29ff:fefb:6cc6%lnc0 prefixlen 64 scopeid 0x1 inet netmask 0xffffff00 broadcast inet netmask 0xffffffff broadcast ether 00:0c:29:fb:6c:c6 plip0: flags=108810<pointopoint,simplex,multicast,needsgiant> mtu 1500 lo0: flags=8049<up,loopback,running,multicast> mtu inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 inet netmask 0xff lnc0 müssen Sie durch die Bezeichnung ihrer Netzwerkkarte ersetzen. Damit dieses alias nach dem Booten noch vorhanden ist muss folgender Eintrag in der Datei /etc/rc.conf des Hostsystems erstellt werden: ifconfig_lnc0_alias0= inet netmask Weitere aliases können fortlaufend nummeriert werden (alias1, alias2,...). Nun starten wir die Jail zwecks Konfiguration manuell [root@freebsdjails /jail/www]# jail /jail/www myjail /bin/sh Die gestartete Jail hört nun auf den namen myjail, hat die IP und startet die /bin/sh shell. Seite 11 von 19

12 Die Konfiguration 1 Erstellen einer leeren /etc/fstab damit kein Fehler wegen fehlender fstab erscheint 2 Einmaliger Aufruf von newaliases in /etc damit sendmail keine Warnungen mehr ausgibt WARNING: local host name (myjail) is not qualified; see cf/readme: WHO AM I? /etc/mail/aliases: 27 aliases, longest 10 bytes, 275 bytes total 3 Ein oder mehrere Nameserver in die Datei /etc/resolv.conf eintragen 4 Deaktivieren des Portmapper in /etc/rc.conf rpcbind_enable= NO 5 Deaktivieren der Netzwerkkonfiguration in /etc/rc.conf network_interface= 6 Vergabe eines hostnames in /etc/rc.conf hostname="myjail" 7 Aktivieren des SSH Daemon in /etc/rc.conf sshd_enable="yes" sshd_flags=" p 2222" 8 Aktivieren von sendmail um Systemmails zuzustellen /etc/rc.conf sendmail_enable= NO oder sendmail_enable= NONE > Sendmail komplett ausschalten 9 Mit sysinstall: root Passwort vergeben configure > root password Benutzer anlegen configure > user management richtige Zeitzone und Tastaturbelegung einstellen configure > time zone... Verlassen der Jail über die Eingabe von exit Seite 12 von 19

13 Beispielkonfiguration Annahme: IP der Jail IP Nameserver sshd Port 2222 hostname myjail /etc/rc.conf rpcbind_enable="no" network_interfaces="" syslogd_enable="yes" syslogd_program="/usr/sbin/syslogd" syslogd_flags=" ss" hostname="myjail" font8x8="iso15 8x8" font8x14="iso15 8x14" font8x16="iso15 8x16" scrnmap="no" keymap="swissgerman.iso.acc" sshd_enable="yes" sshd_flags=" p 2222" sendmail_enable= NONE /etc/ssh/sshd_config ListenAddress /etc/resolv.conf nameserver Start / Stop der Jail Nun starten wir die Jail vollständig: # exit [root@freebsdjails /jail/www]# jail /jail/www myjail.itsm.ch /bin/sh /etc/rc Loading configuration files. Creating and/or trimming log files:. ln: /dev/log: Operation not permitted Starting syslogd. ELF ldconfig path: /lib /usr/lib /usr/lib/compat a.out ldconfig path: /usr/lib/aout /usr/lib/compat/aout Starting local daemons:. Updating motd. Starting sshd. Starting cron. Local package initialization:. Tue Jul 11 15:50:17 UTC 2006 Seite 13 von 19

14 Erfolgte die Konfiguration wie unter 1.7 beschrieben, was zu bevorzugen ist, erfolgt der Start durch das Start Skript: /jail/www]# /etc/rc.d/jail start Es werden nun einige Warnungen ausgegeben weil sie sysctl Variablen in der Jail noch nicht gesetzt wurden. Jetzt können wir per ssh auf die Jail zugreiffen: /jail/www]# ssh p 2222 dominique@ Anschliessend wird der Prompt der Jail erscheinen. Um zu überprüfen ob man sich auf dem Hostsystem oder auf der Jail befindet kann man den Befehl ps ax aufrufen: $ ps ax PID TT STAT TIME COMMAND 626?? SsJ 0:00.06 /usr/sbin/syslogd ss 678?? IsJ 0:00.02 /usr/sbin/sshd p ?? SsJ 0:00.09 /usr/sbin/cron s 698?? IsJ 0:00.23 sshd: dominique [priv] (sshd) 701?? SJ 0:00.13 sshd: dominique@ttyp1 (sshd) 702 p1 SsJ 0:00.09 sh (sh) 913 p1 R+J 0:00.02 ps ax Wenn neben dem init Prozess auch die kernel daemons fehlen befindet man sich in der Jail. In der Spalte stat an wird vor jeden Jail Prozess ein J flag angefügt Eintrag in /etc/rc.conf (Automatischer Start und Stop) Die Jails werden über die Datei /etc/rc.conf des Hostsystems gestartet. Es müssen folgende Einträge hinzugefügt werden: 1. jail_enable="yes" 2. jail_list="www" 3. jail_www_rootdir="/jail/www" 3. jail_www_hostname="myjail" 3. jail_www_ip=" " 3. jail_www_exec="/bin/sh /etc/rc" 3. jail_www_devfs_enable="yes" 4. jail_www_devfs_ruleset="devfsrules_jail" Damit die Jails automatisch starten muss der Eintag (1) vorhanden sein. Falls mehrere Jails installiert sind, müssen diese unter (2) mit deren Namen eingetragen werden und durch Leerzeichen voneinander getrennt werden. Die Angaben unter (3) müssen für alle Jails individuell erstellt werden. Mit (4) werden devfs rules geladen die in /etc/devfs.rules definiert wurden. Im Abschnitt wird näher darauf eingegangen. Sie können aber auch weggelassen werden. Seite 14 von 19

15 Weitere mögliche Optionen können wie folgt aufgelistet werden: /usr/home/dominique]# more /etc/defaults/rc.conf grep jail Jail und devfs rules Das definieren der devfs ruleset für die Jail erfolgt über die Datei /etc/devfs.rules. Dazu kopieren wir eine Beispieldatei und editieren diese nach unserem ermessen: /]# cp /etc/defaults/devfs.rules /etc/ [devfsrules_hide_all=1] add hide # Basic devices typically necessary. # Requires: devfsrules_hide_all # [devfsrules_unhide_basic=2] add path null unhide add path zero unhide add path crypto unhide add path random unhide add path urandom unhide # Devices typically needed to support logged in users. # Requires: devfsrules_hide_all # [devfsrules_unhide_login=3] add path 'ptyp*' unhide add path 'ptyq*' unhide add path 'ptyr*' unhide add path 'ptys*' unhide add path 'ptyp*' unhide add path 'ptyq*' unhide add path 'ptyr*' unhide add path 'ptys*' unhide add path 'ttyp*' unhide add path 'ttyq*' unhide add path 'ttyr*' unhide add path 'ttys*' unhide add path 'ttyp*' unhide add path 'ttyq*' unhide add path 'ttyr*' unhide add path 'ttys*' unhide add path fd unhide add path 'fd/*' unhide add path stdin unhide add path stdout unhide add path stderr unhide Seite 15 von 19

16 # Devices usually found in a jail. # [devfsrules_jail=4] add include $devfsrules_hide_all add include $devfsrules_unhide_basic add include $devfsrules_unhide_login Automatischer Start / Stop der Jail Das starten/stoppen der Jails mit den darin laufenden Diensten erfolgt im Normalfall beim Systemstart/Herunterfahren des Hostsystems mittels Eintrag in der /etc/rc.conf wie unter beschrieben. Wollen sie keinen automatischen Start der Jail so lassen Sie einfach die Einträge wie unter beschrieben weg und starten Sie sie manuell mittels Skript Manueller Start / Stop der Jail mittels Script Mit dem Befehl [root@freebsdjails /]# jls [root@freebsdjails /]# können aktive Jails angezeigt werden. Die angelegte Jail soll nun gestartet werden: [root@freebsdjails /]# /etc/rc.d/jail start Configuring jails:. Starting jails: myjail. [root@freebsdjails /]# jls JID IP Address Hostname Path myjail /jail/www Die Jail wird gestoppt durch die Eingabe von [root@freebsdjails /]# /etc/rc.d/jail stop Stopping jails: myjail Falls mehrere Jail in der Datei /etc/rc.conf des Hostsystems unter jail_list definiert wurden, kann man diese auch einzeln starten: [root@freebsdjails /]# /etc/rc.d/jail start myjail [root@freebsdjails /]# /etc/rc.d/jail stop myjail Seite 16 von 19

17 3 Management von Jails 3.1 Über das Hostsystem Zwei Tools werden für die Administration der Jails vom Hostsystem aus zur Verfügung gestellt: Zum einen wäre das jls das die laufenden Jails anzeigt /usr/home/dominique]# jls JID IP Address Hostname Path myjail /jail/www und zum anderen jexec mit dem man Befehle vom Hostsystem aus in einer Jail ausführen kann. jexec JID $Kommando Bsp.: jexec 1 /etc/rc.d/sshd stop Weiter können Prozesse mit dem kill Befehl gekillt werden: killall j JID $Prozessname Bsp.: killall j 1 sshd 3.2 Prozesse in einer Jail killen Möchte man alle Prozesse in einer Jail beenden, so funktioniert kein shutdown, halt oder reboot in der Jail. Es gibt 2 dennoch Befehle die ausgeführt werden können: kill signal_name pid Bsp.: kill TERM 1 oder kill KILL 1 Die erste Variante sendet ein TERM Signal (software termination signal) an die PID 1. Das heisst das Signal wird an alle Prozesse gesendet für die der ausführende Benutzer Berechtigungen hat. Somit werden als root alle Prozelle terminiert. Variante zwei ist äquivalent zur ersten mit dem Unterschied dass ein KILL Signal (non catchable, nonignorable kill) gesendet wird. Man könnte auch einfach /etc/rc.shutdown innerhalb der Jail aufrufen. Seite 17 von 19

18 3.3 Erstellen von weiteren Jails Eine Jail kann entweder durch die etwas langwierige Prozedur statt finden die in diesem Dokument beschrieben ist oder aber man erstellt einfach eine Kopie der bereits erstellten Jail. Laut Dokumentation macht man die am besten mit cpdub da bspw. der Befehl cp Rp keine 1:1 Kopie macht. Zeit, Hardlinks, Softlinks, devices, Permissions und flags werden übernommen. Die Installation über sysinstall nehmen Sie wie folg vor: /usr/home/dominique]# sysinstall configure > packages > ftp > switzerland > sysutils > cpdup 1.05 Nun erstellen wir eine Kopie der bestehenden Jail. /usr/home/dominique]# cpdup /jail/www /jail/data Jetzt muss die kopierte Jail noch konfiguriert werden. 3.4 Löschen einer Jail Eine Jail mit rm rf /jail/www zu löschen wird keinen Erfolg haben da einige Dateien das system immutable flag gesetzt haben. Dieses Flag kann man folgendermassen entfernen: /jail/www]# chflags R noschg * Jetzt kann mittels rm Befehl die gesamte Jail gelöscht werden: [root@freebsdjails /]# rm rf /jail/www 3.5 Updaten einer Jail Die Jail kann nach dem updaten des Hostsystems folgendermassen auf den neusten Stand gebracht werden (Befehle auf Hostsystem ausführen): [root@freebsdjails /]# cd /usr/src [root@freebsdjails /usr/src]# mergemaster p D /jail/www [root@freebsdjails /usr/src]# make installworld DESTDIR=/jail/www [root@freebsdjails /usr/src]# mergemaster D /jail/www Seite 18 von 19

19 4 Quellen de fbsd security.pdf isg.ee.ethz.ch/events/j2005/papers/unix haertung.pdf _Jails Seite 19 von 19